Le attività rischiose hanno un impatto sugli utenti di computer e sui fornitori di marchi noti, ed è tutta una questione di firmware, raramente scansionato per vulnerabilità, e che può sovvertire i controlli di sicurezza esistenti. Un nuovo rapporto della società di sicurezza del firmware aziendale Eclypsium riporta le vulnerabilità del firmware di Windows e Linux.

Nei suoi materiali di pubbliche relazioni, Eclypsium dice, "I moderni aggressori sanno che gli strumenti di sicurezza tradizionali mancano di visibilità nel firmware, sia a livello di sistema che all'interno dei componenti hardware, e utilizzano sempre più impianti firmware e backdoor per aggirare i controlli di sicurezza, persistere e interrompere l'infrastruttura di un'organizzazione."

Questi sviluppi capovolgono molti presupposti di sicurezza, quante più tecnologie di sicurezza vengono aggirate. Il team del report di Eclypsium ha visto come "i dispositivi periferici spesso mancano delle stesse best practice di sicurezza che diamo per scontate nei sistemi operativi e in altri componenti più visibili, come UEFI o BIOS."

In una storia di Wired, Rick Althert, ingegnere capo presso Eclypsium, detti utenti non privilegiati possono modificare il firmware su tali dispositivi; non ci sono controlli sulla provenienza di quel firmware o su cosa fa.

Anche altri siti tecnologici mettono il nuovo rapporto, "Periferiche pericolose:i pericoli nascosti nei computer Windows e Linux, " sotto i riflettori.

I marchi con punti deboli del firmware includono Lenovo, Periferiche HP e Dell. Il rapporto afferma di aver trovato firmware non firmato negli adattatori WiFi, hub USB, trackpad e fotocamere utilizzati nei computer di Lenovo, Dell, HP e altri importanti produttori. Il firmware potrebbe essere aggiornato con codice non firmato.

Tara Seals di Threatpost ha affermato che il firmware potrebbe fornire ai criminali "una ricca superficie di attacco se ritenuto vulnerabile".

Shaun Nichols ha scritto in The Register, "mentre gli stessi dispositivi vulnerabili potrebbero non essere particolarmente preziosi per un hacker, possono fungere da punto d'appoggio per entrare in altri sistemi della rete."

Il team del rapporto ha affermato che "il firmware non firmato può portare alla perdita di dati, integrità, e riservatezza, e può consentire agli aggressori di ottenere privilegi e nascondersi dai tradizionali controlli di sicurezza".

Consiglio di Eclypsium:"Data la natura diffusa del firmware non firmato, le aziende dovrebbero scansionare i propri dispositivi alla ricerca di eventuali componenti vulnerabili, e dovrebbe valutare la posizione del firmware dei nuovi dispositivi durante l'approvvigionamento."

Le vulnerabilità del firmware possono essere difficili da rilevare. Seals ha scritto che gli attacchi al firmware "consentono ad attività dannose di volare sotto il radar delle protezioni degli endpoint, come visto di recente nelle ultime campagne che utilizzano il ransomware RobbinHood, i driver vulnerabili possono essere utilizzati per aggirare le protezioni di sicurezza e consentire al ransomware di attaccare senza interferenze".

Di tutti i resoconti su ciò che Eclypsium ha scoperto, L'articolo di Andy Greenberg è stato particolarmente utile per coloro che hanno bisogno di capire meglio come le periferiche possono compromettere la sicurezza di un utente.

"Quel laptop sulla tua scrivania o quel server su un rack di data center non è tanto un computer quanto una rete di essi. I suoi dispositivi interconnessi, dai dischi rigidi alle webcam ai trackpad, in gran parte provenienti da terze parti, hanno i propri chip e codice dedicati."

Non importa che gli avvertimenti siano stati emessi per anni:il problema persiste. Greenberg ha detto, "Quei computer all'interno del tuo computer rimangono fastidiosamente non protetti."

I ricercatori hanno persino riscontrato problemi con il servizio firmware del fornitore Linux, "un portale sicuro che consente ai fornitori di hardware di caricare gli aggiornamenti del firmware."

La linea di fondo nell'articolo di Threatpost era che questo problema del firmware non è affatto banale. "Il firmware non firmato nei dispositivi periferici rimane un aspetto altamente trascurato della sicurezza informatica, " ha scritto Sigilli, "e fornisce molteplici percorsi per gli attori malintenzionati per compromettere laptop e server".

Paul Wagenseil di Tom's Guide ha espresso un'opinione simile sulla sua serietà:"Milioni di laptop e desktop realizzati da Dell, HP, Lenovo e altre aziende sono vulnerabili agli attacchi, grazie al firmware non protetto utilizzato dalle webcam, trackpad, hub USB, Schede Wi-Fi e altri dispositivi periferici di fornitori di terze parti integrati nei PC."

Seals ha citato Jesse Michaels, ricercatore principale presso Eclypsium. Ha detto che i produttori di periferiche sono stati lenti nell'adottare la pratica della firma del firmware, "lasciando milioni di sistemi Windows e Linux a rischio di attacchi al firmware che possono esfiltrare i dati, interrompere le operazioni e distribuire ransomware."

Tom's Guide:"Microsoft può rafforzare Windows, e gli sviluppatori Linux possono rafforzare Linux, contro il malware tutto quello che possono, ma i miglioramenti del sistema operativo non faranno molto per fermare altre linee di attacco attraverso le centinaia di periferiche di terze parti integrate in laptop e desktop".

I ricercatori di Eclypsium hanno scoperto che questi problemi si applicano praticamente a tutte le classi di dispositivi Windows e Linux, dai laptop ai server. Se non era chiaro di chi incolpare, era anche chiaro da mercoledì che un'entità poteva essere lodata:Apple. "I Mac sono immuni, " disse Tom's Guide.

Il rapporto Eclypsium ha spiegato che "Apple esegue la verifica della firma su tutti i file in un pacchetto driver, compreso il firmware, ogni volta prima che vengano caricati nel dispositivo per mitigare questo tipo di attacco. In contrasto, Windows e Linux eseguono questo tipo di verifica solo quando il pacchetto viene installato inizialmente."

Un lettore di HotHardware ha risposto alla notizia con questo punto di vista:

"Non ci sono davvero scuse per non firmare e verificare più alcun firmware, al di fuori di un ambiente di sviluppo. I sistemi operativi dovrebbero richiedere agli utenti avvisi sul firmware non firmato e spiegare i pericoli in un modo che gli utenti non esperti possano capire. Negli ambienti aziendali, questi avvisi potrebbero essere disattivati ​​tramite GPO, ecc. presumendo che gli amministratori di sistema siano abbastanza competenti da controllare il proprio firmware."

© 2020 Scienza X Rete